本文共 644 字，大约阅读时间需要 2 分钟。

在Django项目中，我曾经使用过两款富文本编辑器，分别是Djangoueditor和tinymce。这两款编辑器在渲染内容时，都采用了特定的方法来处理用户输入的数据。

在Django开发中，{{ data }} 和 {{ data|safe }} 是非常常见的变量标记。第一种方式（{% autoescape off %}{{ data }}{% endautoescape %}）会直接输出数据内容，而第二种方式（{{ data|safe }}）则会渲染原始的HTML内容。两种方法的主要区别在于{{ data|safe }}会使得内容直接输出，而{% autoescape off %}则会消除HTML转义，这种方式适用于信任安全的数据源。

我最初的做法是直接将图片URL加入到模板中，无论是否来自可信来源。后来我意识到这样可能会引发 XSS 攻击风险，因此开始使用|safe 过滤标记来安全地呈现外部内容。这种方法既保护了服务器的安全，又确保了编辑器能够正确地显示外部图片和富文本内容。

通过这样的方法，不论是Djangoueditor还是tinymce，都能稳定地呈现用户输入的内容，而无需额外开启或关闭安全模式。这种做法为后续开发和维护带来了很大便利。

在具体实现中，我会建议开发者根据具体需求选择使用{% autoescape off %}或{{ data|safe }}，如果需要完全信任输入源，则使用后者；如果不需要过多的安全处理，则可以简化为直接{{ data }}。

转载地址：http://jxalz.baihongyu.com/